サービスプリンシパル名を設定する

サービスプリンシパル名(SPN)を設定して、OktaがAgentless Desktop Single Sign On(DSSO)でKerberos認証をネゴシエートできるようにします。サービスプリンシパル名(SPN)を設定するには、ドメイン管理者権限が必要です。

  1. Active Directory(AD)環境で管理者としてコマンドプロンプトを開き、次のコマンドを実行してSPNを追加します。

    setspn -S HTTP/<myorg>.kerberos.<okta|oktapreview|okta-emea|okta-gov.com>.com <ServiceAccountName>

    ここで、HTTP/<myorg>.kerberos.okta.comはSPN、<ServiceAccountName>はエージェントレスDSSOを構成するときに使用した値、<oktaorg>はOkta org(oktapreview、okta-emea、またはokta)です。例:setspn -S HTTP/atko.kerberos.oktapreview.com atkospnadmin

    このコマンドでは、新しいADユーザーアカウントとSPNは作成されません。代わりに、既存のADユーザーアカウントに新しいSPNが追加されます。
    子ドメインは、親ドメインがOktaでKerberos領域としても構成されている場合にのみ、親ドメインに存在するSPNを使用できます。
    SPNはフォレスト全体で一意であるため、各フォレストでこれを行う必要があるのは1回だけです。複数のフォレストがある場合は、フォレストごとに手順1を繰り返します。このコマンドは、カスタムURLを使用しているorgを含む、すべてのorgに適用できます。

  2. Agentless DSSOを使用するすべてのデバイスのインターネット設定のイントラネットサイトリストにhttps://<myorg>.kerberos.<oktaorg>.comを追加します。
  3. Okta Admin Consoleを開き、[Security(セキュリティ)][Delegated Authentication(委任認証)][Agentless DSSO(エージェントレスDSSO)][Edit(編集)]に移動します。
    1. ADインスタンスで、[Edit(編集)]をクリックします。
    2. サービスアカウントのユーザー名が古い形式(例:HTTP/<myorg>.<oktaorg>.com)の場合は、SPNが設定されたサービスアカウントのUPNに変更します。
    3. [Validate service account credential on save(保存時にサービスアカウント認証情報を検証する)]を選択します。
    4. [Save(保存)]をクリックします。

    これにより、orgの新しいDNSレコードの作成が開始されます。

  4. digやnslookupなどのコマンドラインツールを使用して、新しいKerberos URLに到達できることを確認します。例:

    $ dig <yourOrg>.kerberos.<oktaorg>.com

    $ nslookup <yourOrg>.kerberos.<oktaorg>.com

    コマンドが成功したかどうかを判断するには、LinuxまたはWindowsのコマンドリファレンスドキュメントを参照して、出力メッセージの意味を確認してください。Kerberos URLに到達できた場合は、残りの手順を完了します。成功したことを示す出力が表示されない場合は、5分後に再度コマンドを実行するか、Oktaサポートにお問い合わせください。

次の手順

Windowsでシングルサインオンを使用できるようにブラウザーを構成する